«Никогда такого не было»: Google раскрыла серьезную уязвимость в браузере Microsoft Edge раньше выпуска заплатки
Общеизвестно, что Google не упускает ни одной возможности, чтобы поддеть или насолить ..., Общеизвестно, что Google не упускает ни одной возможности, чтобы поддеть или насолить своемуОбщеизвестно, что Google не упускает ни одной возможности, чтобы поддеть или насолить своему извечному конкуренту – компании Microsoft. И за последние несколько лет у этой пары был далеко не один серьезный разговор на тему раскрытия уязвимостей в безопасности продуктов. И вот Google решила в лишний раз позлить Microsoft и раскрыла информацию об уязвимости в одном из ключевых продуктов программного гиганта до выпуска заплатки с исправлениями. Речь об уязвимости в браузере Edge, обнаруженной участниками Google Project Zero еще в ноябре прошлого года.
Сама по себе уязвимость достаточно серьезная – она связана с функциональностью JIT (технология динамической компиляции) движка Chakra и может использоваться для обхода защитного механизма Arbitrary Code Guard (ACG), дебютировавшего в Windows 10 Creators Update и предотвращающего» разного рода атаки в Windows 10. Исследователю удалось успешно обойти защиту ACG и создать исполняемую страницу в памяти. Более подробно об уязвимости можно почитать на сайте Google Project Zero.
Отметим, что этой уязвимости в Microsoft Edge был присвоен «средний» уровень серьезности по шкале Google. Кроме того, Google предоставила дополнительный 14-дневной льготный период, чтобы Microsoft включила соответствующее исправление в традиционный вторничный пакет обновления безопасности за февраль, но программный гигант по каким-то причинам сорвал эти сроки. Точнее, причиной стало то, что разработка этого самого «исправления оказалась более сложной, чем считалось изначально». Более того, инженер Google, обнаруживший эту уязвимость, говорит, что Microsoft «пока не определила дату выпуска патча».
Таким образом, Google в очередной раз подставила Microsoft. Ранее поисковый гигант неоднократно поступал аналогичным образом и публиковал данные об уязвимостях в продуктах программного гиганта, не дожидаясь пока тот выпустит исправления. Например, в 2016 году Google раскрыла уязвимость в Windows.
Напомним, что проект Google Project Zero был анонсирован в июле 2014 г. Его участники занимаются поиском уязвимостей в программном обеспечении. По правилам Google Project Zero, на исправление уязвимостей производителям отводится 90 дней, после чего информация о них размещается в Интернете. Компания Google может делать исключения из этого 90-дневного правила, публикуя информацию об уязвимости раньше (если изъян активно используется злоумышленниками) или позже. Два заметных исключения последнего времени, когда Google задержала публикацию сведения на целых полгода – нашумевшие уязвимости Meltdown и Spectre, которые затрагивали не только устройства под управлением собственных ОС Chrome OS и Android, но и конкурирующих Windows, Linux, macOS и iOS.
Источник: Neowin и Google Project Zero
Также по теме:
- Специалисты Google Project Zero второй раз за неделю раскрыли уязвимость в ПО Microsoft до выхода патча, на сей раз – в Windows 10
- Microsoft и Google нашли в CPU Intel новую уязвимость, решение которой, возможно, снизит производительность ПК
- «Чипокалипсис»: Google подготовила обновление, закрывающее уязвимость Spectre в Android и Chrome, а Mozilla готовит соответствующий патч для Firefox